| ポリシー |
要件 |
例 |
| スタンダード |
特定のH/W,S/W |
ウィルスソフト:
○○社のウィルス○○のバージョンX.XXを使用する |
| ベースライン |
最小レベルのセキュリティ |
使用する基準値 |
| プロシージャー |
ステップバイステップの指示 |
日業業務に必要な段階的プロセス(手順等) |
| ガイドライン |
勧告 |
ポリシーを実現するための補助的な記述 |
スタンダード
- H/W,S/Wのメカニズムと製品
- H/WやS/Wの導入をする際に、どのような機能が備わっているべきかを明確にする
- 例
- ウィルス対策ソフト
- アクセス制御システム
- ファイアウォールシステム
プロシージャー
- 情報セキュリティの観点から必要とされる具体的な行動
- セキュリティ的な観点から、各種行動における手順を明確にしたもの。
- 例
- ユーザ登録手順
- ドキュメント破棄手順書
- セキュリティ関連の契約書記載事項
- インシデントレスポンス手順(事故対応:レポートテンプレートが必要)
ベースライン
- セキュリティに関するメカニズムと製品やシステムの実装方法を決定する
- 情報セキュリティ対策の実装における基準(製品やシステムのスペックを含む)を定義する。情報セキュリティに関する最低限の目標などを記載する場合もある。
- 例
- 不正侵入検知システムの構成
- アクセス制御システムの構成
ガイドライン
- 情報セキュリティに関する推奨行動
- 必ず守らなくてはいけないというものではなく、その他のサポート要素を補完する形で活用される。
- 例
- 政府勧告
- 国際規格(ISO/IEC27001,27002等)
- 業界ガイドライン
- 製品/システムの評価基準
補足
スタンダードとベースラインの違いは、
スタンダードはスペック等のまでで、ベースラインは構成のみ。
最終更新:2008年11月19日 13:46
